顺序的Grok滤波器可以显着影响LogStash的性能。这里有一些要考虑的要点:
1。性能降解:使用与现场覆盖的顺序Grok过滤器可能不必要地复杂,并且可能会严重降解性能。这种复杂性会导致处理时间较慢并增加资源使用情况,这在高通量环境中尤其有问题[1]。
2。回溯和匹配:当Grok模式无法匹配时,Regex引擎可能会进行广泛的回溯,这可能会大大减慢处理。如果未优化模式或在不正确锚定的情况下依次应用它们[9] [10],则此效果会加剧。
3。资源消耗:复杂的配置,包括顺序过滤器,需要更多的计算资源。每层的处理层都可以消耗更多的CPU和内存,从而增加潜伏期并可能影响实时分析功能[5]。
4.优化策略:为了减轻这些问题,建议简化模式,使用锚来确保精确匹配并限制贪婪的匹配。此外,将多个Grok过滤器组合为单个,优化的模式可以通过减少所需操作数量来提高性能[1] [10]。
5。替代过滤器:在某些情况下,使用``Dissect''过滤器之类的替代过滤器都可以提供更好的性能,尤其是在处理结构化日志时。 “ Dissect”过滤器不依赖正则表达式,从而使其对于某些类型的数据更快,更有效[3]。
引用:[1] https://discuss.elastic.co/t/grok-best-practice/172871
[2] https://discuss.elastic.co/t/grok-pattern-performance/75047
[3] https://blog.leandrojmp.com/posts/en/2020/08/logstash-grok-vs-dissect
[4] https://docs.aws.amazon.com/opensearch-service/latest/developerguide/siss-best-practices.html
[5] https://moldstud.com/articles/p-filter-complexity-effects-on-logstash-performance
[6] https://docs.aws.amazon.com/athena/latest/ug/performance-tuning-data-optimization-techniques.html
[7] https://coralogix.com/blog/logstash-grok-tutorial-with-examples/
[8] https://stackoverflow.com/questions/38324857/how-does-the-the-grok-filter-work-in-logstash
[9] https://www.elastic.co/blog/do-you-grok-grok
[10] https://edgedelta.com/company/blog/what-are--rok-patterns